コンテンツセキュリティポリシーとAdobe Visitor ID サービス content-security-policies-and-the-experience-cloud-id-service

コンテンツセキュリティポリシー(CSP)は、Web ページに読み込まれるリソースのタイプをブラウザーで制御できるようにするために HTTP ヘッダーで使用されるセキュリティ機能です。 Visitor ID サービスを使用しており、信頼できるドメインからリソースを受け入れるために許可リストを使用する厳格なCSPを使用している場合は、この節を参照してください。 ここに記載されているアドビドメインを CSP 許可リストに追加する必要があります。

CSP レビュー section-5fde5c00a678455c914b8307a8caab82

CSP は HTTP ヘッダー Content-Security-Policy を使用してブラウザーが許可したりページに読み込んだりするリソースのタイプを制御します。 CSP を適用すると以下の問題を防ぐことができます。

  • ソースが不明、または許可リストに含まれていない JavaScript ファイルの読み込み。
  • クロスサイトスクリプティング(XXS)攻撃。
  • データインジェクション攻撃。
  • サイト改ざん攻撃。
  • マルウェアの配布。

CSP の使用は一般的であり、よく理解されています。 このドキュメントの目的は CSP について詳しく説明することではありません(詳しくは、後にある関連情報リンクを参照してください)。 重要なのは、厳格なセキュリティポリシーを適用する必要がある場合に、CSP に追加する必要があるアドビのドメイン名を理解することです。 これらのドメインを追加すると、サイトにアクセスする訪問者ブラウザーが、使用するCX エンタープライズリソースに対して重要な呼び出しを行うことができます。

許可リストに加える用CX Enterprise Domains section-30693e9a96834edfbf04de9e698cf2aa

使用するリスト CX Enterprise ソリューションまたはサービスごとに、これらのドメイン名またはURLをCSPに追加します。

CX エンタープライズソリューション/サービス
説明
AppMeasurement

CSP に以下を追加します。

  • *.2o7.net
  • *.omtrdc.net
ターゲット
CSP に *.tt.omtrdc.net を追加します。
Visitor ID ServiceとAudience Manager

CSP を変更し、以下のドメインを含めます。

  • connect-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • img-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • script-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • frame-src 'self' https://*.demdex.net;
  • タグを使用する場合は、https://assets.adobedtm.comをドメインのリストに追加する必要もあります。

demdex.net ドメインへの呼び出しは、Cookieと訪問者ID サービスの生成およびID同期に使用されます。 詳しくは、Demdex ドメインの呼び出しについても参照してください。

Activity Map プラグイン
CSP に *.adobe.com を追加します。 **メモ**:2020 年 1 月より前に Activity Map をインストールした場合、ブラウザーには「*.omniture.com」への初期リクエストが表示されますが、「*.adobe.com」にリダイレクトされます。
Advertising Analytics

クエリ文字列パラメーターを制限する場合は、次のパラメーターを許可リストに加えます。

  • s_kwcid! を使用)
  • ef_id: を使用)

URL 内の ! 文字をブロックする場合は、その文字も許可リストに加えます。

Advertising Analytics では s_kwcid のみを使用しますが、Advertising 検索、Social、Commerce、Advertising DSPでも ef_id を使用します。

Adobe Advertising

CSP に次のドメインを追加します:

  • .everestjs.net
  • .everesttech.net
recommendation-more-help
id-service-help